下面是小编给大家整理的禁止修改WINDOWS防火墙安全规则WEB安全(共含9篇),欢迎大家借鉴与参考,希望对大家有所帮助。同时,但愿您也能像本文投稿人“JayChou08”一样,积极向本站投稿分享好文章。
WINDOWS2008系统新增加的高级安全防火墙功能,可以允许用户根据实际需要自行定义安全规则,从而实现更加灵活的安全防护目的,
禁止修改WINDOWS2008防火墙安全规则
不过WINDOWS2008防火墙还有一些明显不足,对它进行的一些设置以及创建的安全规则,几乎都是直接存储在本地WINDOWS2008系统注册表中的,非法攻击者只需要编写简单的攻击脚本代码,就能轻松通过修改对应系统注册表中的内容,来达到修改防火墙安全规则的目的,从而可以轻松跨越高级安全防火墙的限制。如何才能拒绝非法攻击者通过修改系统注册表中的相关键值,来跨越高级安全防火墙功能的限制呢?其实很简单,只要通过下面的设置,禁止非法攻击者修改系统注册表中的相关键值就可以了 首先在WINDOWS2008系统桌面中打开“开始”菜单,从中点选“运行”命令,输入 “regedit”,回车后打开注册表编辑器,依次展开SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项BITSSVC-RPC-In-TCP,在该注册表子项对应的右侧显示区域中保存了许多防火墙的安全规则以及设置参数;
如果非法攻击者具有访问FirewallRules注册表子项的权限时,那么就能随意修改该分支下面的各个安全规则以及设置参数了,而在默认状态下任何普通用户的确是可以访问目标分支的,
为此,我必须限制Everyone帐号来访问FirewallRules注册表子项,要做到这一点,要先选中FirewallRules注册表子项,同时用鼠标右键单击该注册表子项,并执行快捷菜单中的“权限”命令,打开目标注册表子项的权限设置对话框。
单击该对话框中的“添加”按钮,打开用户帐号选择对话框,从中选中“Everyone”帐号并将它添加进来,之后选中“Everyone”帐号,并将对应该帐号的“完全控制”权限调整为“拒绝”,再单击“应用”按钮,如此一来非法攻击者日后就不能通过注册表随意修改WINDOWS2008系统高级安全防火墙的安全规则以及设置参数了,那么WINDOWS2008系统的安全性能也就更有保障了。
据国外媒体报道,为什么Windows的防火墙不够安全呢?一起来听听业内人士的解答, 我以前的工作是关于Windows内置防火墙的,主要就是增强防火墙的防御功能,使其可以阻止病毒的攻击。
事实上,我一直都很关注防火墙领域。首先我认为安全对于Windows来说是非常重要的,其次个人是很难应对所有的安全威胁的,即使你使用杀毒套装也不能保证网络的安全,防火墙才是保证网络安全的基础。
那么Windows防火墙有什么漏洞呢?在默认的设置下,它不能很好的检测出站链接的问题,这将使Windows系统变得不安全,而这一问题不仅仅只在XP系统中有。要解决这个问题,你需要在安全中心的Windows防火墙设置中选择更高的安全设置。在XP系统中你可以在控制面板中找到,而在Vista系统中可以按Windows键,输入wf.msc,并回车,这样可以提高防火墙的安全性。
screen.width-333)this.width=screen.width-333“>
相关问题截屏
为了更加安全,我建议大家使用第三方的防火墙,因为它们更加的专业,并且很多是免费的,
我们将不同版本的XP以及Vista的防火墙与ZoneAlarm和Outpost的防火墙相比较发现,后者更具优势。
在第三方防火墙的排行榜中,Matousec防火墙是其中最受欢迎的,它的评价达到了“非常好”,其他的7个防火墙评价为“良好”,这其中有些防火墙是完全免费的,而它们的防护效果都非常的不错。
关于Windows防火强的技术资料你可以在TechNet中找到,可以从中看到Windows防火墙更多的相关文章。
在Windows XP中你可以在疑难解答中解决防火墙的相关问题,如果是关于Vista的防火墙问题则需要到TechNet网站上查找了。
所以为了使网络更加的安全,操作更加便捷,我们建议你使用第三方的防火墙,因为它们出现的更早,更加的专业。
打造更安全的防火墙
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁, 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
为什么Windows的防火墙不够安全呢?一起来听听业内人士的解答,
我以前的工作是关于Windows内置防火墙的,主要就是增强防火墙的防御功能,使其可以阻止病毒的攻击。
事实上,我一直都很关注防火墙领域。首先我认为安全对于Windows来说是非常重要的,其次个人是很难应对所有的安全威胁的,即使你使用杀毒套装也不能保证网络的安全,防火墙才是保证网络安全的基础。
那么Windows防火墙有什么漏洞呢?在默认的设置下,它不能很好的检测出站链接的问题,这将使Windows系统变得不安全,而这一问题不仅仅只在XP系统中有。要解决这个问题,你需要在安全中心的Windows防火墙设置中选择更高的安全设置。在XP系统中你可以在控制面板中找到,而在Vista系统中可以按Windows键,输入wf.msc,并回车,这样可以提高防火墙的安全性,
为了更加安全,我建议大家使用第三方的防火墙,因为它们更加的专业,并且很多是免费的。我们将不同版本的XP以及Vista的防火墙与ZoneAlarm和Outpost的防火墙相比较发现,后者更具优势。
在第三方防火墙的排行榜中,Matousec防火墙是其中最受欢迎的,它的评价达到了“非常好”,其他的7个防火墙评价为“良好”,这其中有些防火墙是完全免费的,而它们的防护效果都非常的不错。
关于Windows防火强的技术资料你可以在TechNet中找到,可以从中看到Windows防火墙更多的相关文章。
在Windows XP中你可以在疑难解答中解决防火墙的相关问题,如果是关于Vista的防火墙问题则需要到TechNet网站上查找了。
所以为了使网络更加的安全,操作更加便捷,我们建议你使用第三方的防火墙,因为它们出现的更早,更加的专业。
我们自己安装了杀毒软件,所以win系统的防护墙对我们来说就没有必要了,我们需要取消那么怎么取消呢?
点击开始菜单进入 控制面板
里面有 WINDOWS防火墙
双击打开 点选 关闭 然后确定即可
这样windows的防火墙就取消了,但是取消之后,在右下角的总有一个安全警报图标,这个图标我们又如何取消呢?关闭“安全中心”的通知功能
打开“控制面板”中的“安全中心”点击窗口左边的“更改‘安全中心’通知我的方式”,把其中三项的“√”全部去掉即可,
取消Windows防火墙与安全警报
,
我们选择 更改“安全中心”通知我的方式
进入之后将相应的“√”取消了,如上图就可以。那么安全警报图标就没有了。
一、先关闭不需要的端口
我比较小心,先关了端口,只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp]
”PortNumber“=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二.关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在”网络连接“里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--”NetBIOS“设置”禁用tcp/IP上的NetBIOS(S)“。在高级选项里,使用”Internet连接防火墙“,这是windows 2003 自带的防火墙,在系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
三、关闭默认共享的空连接
地球人都知道,我就不多说了!
四、磁盘权限设置
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:”只要给我一个webshell,我就能拿到system“,这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
另外,还将:
net.exe NET命令
cmd.exe CMD 懂电脑的都知道咯~
tftp.exe
netstat.exe
regedit.exe 注册表啦 大家都知道
at.exe
attrib.exe
cacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:
format.exe 不说了,大家都知道是做嘛的
大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问,
五、防火墙、杀毒软件的安装
关于这个东西的安装其实我也说不来,反正安装什么的都有,建议使用卡巴,卖咖啡。用系统自带的防火墙,这个我不专业,不说了!大家凑合!
六、SQL2000 SERV-U FTP安全设置
SQL安全方面
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
5、隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
serv-u的几点常规安全需要设置下:
选中”Block “FTP_bounce”attack and FXP“。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个”PORT“命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
七、IIS安全设置
IIS的安全:
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、.stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
八、其它
1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
6. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
9、禁用DCOM:
运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
最后,建议安全以上步骤做的朋友们,每做一步先进行一下测试,省的无可挽回,毕竟Microsoft会出一些非常规性的问题的咯!
Windows网络总是成为 及其他破坏者的攻击目标,但是一旦管理员通过防火墙日志定期了解网络状态信息,破坏者就很难得逞了。
每周或每月查看一次防火墙日志,了解安全漏洞,浏览器速度及网络性能情况,能够保障网络安全。这些日志反应了攻击者不断攻击网络的记录,显示遭到恶意软件影响的内部系统,并且能帮助你识别与你有生意往来的公司里错误配置或遭破坏的系统。
从防火墙得到的信息与软件活动或设备监视器的类型有关。在选择防火墙时,要考虑使用能监控入站、出站连接和入侵企图的类型。配置防火墙日志文件大小时,注意其大小要能保存几周的有用数据;只有两天追踪信息的日志并不能提供足够数据应对可能出现的安全问题。
注意不断攻击的入侵者
最近的研究表明,新连接上网的系统在连接的头10分钟内最容易被攻击。你的防火墙也不例外。平均每20分钟所有注册的地址都会进行端口扫描。这时你会发现总有人企图连接某个端口或一组端口。多数防火墙在默认情况下会阻止端口扫描。在潜在入侵者对10个或15个以上的端口依次进行扫描后,部分防火墙能在一段时间内锁住某个特定地址。
来自不同地址的端口扫描不是警报的原因。但如果发现在几周或几个月内有同个地址企图对端口依次进行扫描,你可能就要通过封包 验证源地址,确定它不是欺骗行为,并对注册该地址的雇员,承包人或有商业往来的人进行调查。
监控内部系统中的恶意软件
尽管努力阻止,但有时仍未将Trojans,蠕虫及间谍软件等下载到桌面系统里。有些桌面恶意软件会利用一些包冲击防火墙,
(我记得最近有一个端口80中的HTTP和端口7中的Echo结合)当发现内部网中系统与防火墙之间连接不恰当,就要立即查看计算机情况,确认是否安装了恶意软件,并即刻采取措施进行修复。
误配置伙伴合作系统只会浪费空间
由于商业往来,许多公司要求通过第三方进行服务器对服务器或服务器对客户端的交流。我其中一名客户有独立的承包人,改承包人通过外部代理处理公共关系。在承包人安装了代理机构的软件后,防火墙遭到来自代理服务器的非方验证请求破坏--每天平均20分钟就有15至20次试图连接。对这种行为至少有两种解释,服务器配置错误,或者遭到破坏。无论哪种情况都需要解决该问题,因为阻止企图的记录无疑会占去日志文件一定的空间和带宽,而这些空间和带宽最好是能用到合法的商业行为中。
拒绝服务器攻击
防火墙每天都记录了成百或成千的阻止连接信息。除了你指定的端口,如果防火墙阻止所有输入信息,这些企图攻入你网络的尝试虽然恼人,但相对没有什么害处。在一定时期内,恶意用户每一百毫秒就企图连接一个注册地址。这就产生了大家熟知的拒绝服务器(DoS)攻击的“lite”版本。这种类型的攻击会间歇性减缓网络访问速度,尤其是容量周围的链接。阻止记录能确认出你是或曾是“lite”或DoS的攻击对象。
网络中有些网站可以实时监控网络中存在的威胁。一个公认的权威网站是isc.sans.org的因特网风暴中心。该网页显示出全球的网络数据地图,这些数据都是基于对全球防火墙日志的分析--数据库包括了每日3600万条记录及每月2.4亿条记录。
如想将你的网络数据与当地网络的实时状态进行比较,就在ISC地图上点击你所在的国家,显示有关统计数据。主页www.dshield.org中还有彩色地图,显出全球范围中攻击关联引擎。
如果定期查看防火墙日志,你就能发现以上提到的一些问题,或者其他干扰网络操作或性能的异常情况。除了保持对网络威胁的警惕,你也能利用防火墙日志中的数据成功说服老板增加安全预算。
我的电脑也不知道中了什么病毒,电脑中所有的exe文件一运行就会关联到写字板程序中,别的文件我知道如何修改关联,可exe该如何修改关联呢?
可以通过修改注册表来恢复exe文件。因为exe文件都无法打开,所以只有先将windows目录下的注册表编辑器“regedit.exe”改为“regedit.com”,然后运行它,依次找到hkey_classes_root\exefile\shell\open\command,双击“默认”字符串,将其数值改为“”%1" %*”就可以了,
另外也可以在dos下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复exe文件的关联。
关 键 字:Windows安全
最新出版的市场研究报告指出, windows vista 的新功能将使额外加装的反间谍与防火墙软件变得多余,
yankee group 新出版的研究报告指出,预定于明年初正式上市的 微软 ( microsoft )新版旗舰操作系统除了为使用者提供更完善的安全防护功能之外,亦将对年产值36亿美元的windows安全防护产品市场产生巨大的冲击。
这份报告的作者andrew jaquith指出:「yankee group预期vista将会使反间谍与桌面防火墙市场产生严重萎缩的现象。」此外,微软(microsoft)五年来首度推出的新版操作系统,可能也会减少使用者对于加装额外磁盘加密、装置控制、与某些主机入侵侦测软件的需求。 不过vista却不会对防毒软件产生任何影响,其年产值为26亿美元,占windows桌面安全软件市场的最大宗。这是因为vista并不包含任何防毒功能,而microsoft计划在下个月销售windows live onecare防毒软件。
对市场产生冲击的原因在于vista所内建的功能。vista的反间谍功能windows defender与改良后的windows firewall,其功能足以满足大多数使用者的需要。至于磁盘加密功能bitlocker与usb随身碟等装置管理功能,则可能仅有少部份使用者会感到满意,
小企业可能会认为microsoft所设计的磁盘加密与装置管理功能已经堪用,但是大型企业则需要更完善的管理功能,所以仍有协力厂商生存的空间。「即使功能与vista的内建功能重迭,但是软件开发厂商仍可以强调完善的管理功能而继续生存下去。」
由于推出的时程一再延后,所以microsoft已经原来很伟大的vista开发计划(代码longhorn)拆解成许多部份。尽管如此,有关于安全性的功能却几乎没有任何妥协。yankee group认为严重的安全弱点将可望大幅减少80%,而其余弱点所产生的冲击也将会大幅降低。
jaquith提出警告,虽然vista可以减少使用者所承受的安全风险,但是这些新增安全功能却可能使升级变得更为困难。他表示:「虽然vista大幅度改善使用windows所承受的安全风险,但是执行与使用方面可能会面临不小的挑战。许多使用者一定会认为vista容易令人发脾气。」
令人发脾气的功能包括user account control,这个预设为开启的功能会减少windows使用者的权限,其目的在于减少恶意软件入侵并全面掌控windows pc的机会。虽然新的安全功能应该可以发挥预期的功效,但是却略嫌唠叨。
在这种情况之下,yankee group建议不见得非使用最新科技的企业使用者暂时观望并继续使用windows xp service pack 2,等到2008年之后再考虑升级。
关 键 字:Windows安全
